SOC2 چیست؟

System and Organization Controls(soc)2  طراحی شده است تا سازمان های خدماتی را قادر سازد به مشتریان اطمینان دهند که به شیوه ای ایمن کار می کنند و از داده های آنها به طور مناسب محافظت می کنند. این استاندارد توسط American Institute of Certified Public Accountants (AICPA)  توسعه یافته است و معیارهایی را برای مدیریت داده های مشتری بر اساس 5 دسته معیار خدمات اعتماد (TSC) تعریف می کند.

گزارش SOC2 چیست؟

برخلاف استانداردهای سفت و سخت تر مانند ISO 27001 و PCI DSS، با SOC2 این انتظار وجود دارد که سازمان ها سیستم ها و کنترل های خود را برای مطابقت با TSC بر اساس خدماتی که ارائه می دهند و الزامات تجاری خاص خود طراحی کنند.

به این ترتیب، گزارش های SOC 2 معمولاً کاملاً دقیق و بسیار خاص برای سازمان مورد نظر هستند. گزارش SOC2 به طور کلی با گواهی ISO 27001 قابل مقایسه است نه در جزئیات. با این حال، به دلیل ماهیت دقیق آن، 

2 نوع گزارش SOC 2 وجود دارد:

گزارش Type1: یک certified public accountant (CPA) نظر خود را در مورد اینکه آیا توصیف سیستم‌های سازمان به طور منصفانه ارائه شده است یا خیر و اینکه آیا کنترل‌های موجود در توضیحات به‌طور مناسب برای برآورده کردن Trust Services Criteria (TSC) قابل اجرا در یک مقطع زمانی طراحی شده‌اند، ابراز می‌کند.

گزارش Type2:  گزارش CPA حاوی همان نظراتی است که در گزارش نوع 1 بیان شده است، اما همچنین شامل نظری در مورد اثربخشی عملیات کنترل‌های سازمان در یک دوره زمانی است. گزارش نوع 2 همچنین شامل شرحی از تست‌های اثربخشی عملیات CPA و نتایج این آزمایش‌ها است.

شرایطی که ممکن است یک گزارش Type1 تهیه شود، شامل مواردی است که سیستم ها و کنترل های یک سازمان برای مدت زمان قابل توجهی فعال نبوده اند یا سازمانی اخیراً تغییرات قابل توجهی در سیستم ها یا کنترل های خود ایجاد کرده است.

الزامات SOC 2 چیست؟

الزام پایه ای SOC 2 این است که سازمان بتواند نشان دهد که مجموعه ای از فرآیندها و کنترل های امنیت اطلاعات را برای انطباق با 5 دسته TSC را در اختیار دارد:

  • Security
  • Availability
  • Confidentiality
  • Processing Integrity
  • Privacy

از این دسته ها، فقط Security اجباری است. یک سازمان ممکن است بسته به نوع خدماتی که ارائه می‌کند و انتظارات مشتریانش، هر یک از 4 دسته دیگر را حذف کند.

برای مثال، سازمانی که یک سرویس مرکز داده میزبانی را ارائه می‌کند، ممکن است فقط Security و در Availability را در گزارش خود لحاظ کند، در حالی که سازمانی که نرم‌افزاری به‌عنوان سرویس (SAAS) ارائه می‌کند ممکن است Security، Availability و Processing Integrity را در گزارش خود لحاظ کند.

SOC 2 TSC چیست؟

این 5 دسته در مجموع 61 معیار را پوشش می‌دهند که برخی از آنها به حاکمیت مربوط می‌شوند، مانند استقلال هیئت مدیره از مدیریت، و برخی دیگر که کنترل‌های امنیت اطلاعات قابل تشخیص‌تر هستند، مانند محدود کردن دسترسی فیزیکی و توسعه برنامه واکنش به حادثه.

ارتباط قوی بین TSC و کنترل‌های پیوست ISO 27001 Annex A وجود دارد. با این حال، SOC 2 در مقایسه با ISO 27001 تمرکز بیشتری بر حاکمیت دارد و شامل معیارهای مربوط به یکپارچگی پردازش و حفظ حریم خصوصی است، که ISO 27001 ندارد. با این حال، یک ISMS بالغ مطابق با ISO 27001 معمولاً بخش بسیار مهمی از توسعه یک چارچوب کنترلی SOC 2 را دارد.

این نقاط ویژگی های هر معیاری هستند که به سازمان کمک می کنند تا کنترل های خود را به شیوه ای مناسب طراحی کند. آنها معمولاً توسط ممیز برای تعیین مناسب و مؤثر بودن کنترلها تعریف می شوند.

آیا SOC 2 گرانتر از ISO 27001 است؟

در حالی که بین این دو چارچوب همبستگی وجود دارد، SOC 2 TSC گسترده‌تر از فرآیند و الزامات کنترل ISO 27001 است، حداقل به دلیل این واقعیت که SOC 2 بیشتر حاکمیت محور است.

این می تواند به این معنی باشد که توسعه یک چارچوب کنترلی SOC 2 هزینه بیشتری را متحمل می شود، اما تفاوت هزینه اصلی در فرآیند تأیید است. راه اندازی یک شرکت CPA برای ارائه گزارش Type1  SOC 2 می تواند به طور قابل توجهی گران تر از دریافت گواهینامه ISO 27001 از یک نهاد صدور گواهینامه معتبر باشد.

گزارش Type2 SOC 2 هزینه بیشتری را به دلیل این واقعیت که ممیزی در حال آزمایش شواهد در طول دوره اطمینان است، اضافه می کند.